瑞星卡卡安全论坛

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！

附件: SREngLOG2.log

以下为参考处理方案（摘自原帖）

开始操作之前，先把网络断开；
———————————————————————————————————————
使用暴力文件删除工具删除以下文件：
———————————————————————————————————————
C:\WINDOWS\system32a2.sys

———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，将以下项删除：
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [File is missing]
———————————————————————————————————————

C:\WINDOWS\system32\UTSCSI.EXE（这应该是一个U盘加密或自带杀毒的系统服务项，没必要删除

）
———————————————————————————————————————
打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：

  [R2A / R2A][Stopped/Disabled]
  <\??\C:\WINDOWS\system32a2.sys><N/A>
———————————————————————————————————————
这篇日志出现在7月13日第5次训练中，多做一次，加深印象:kaka1:

看一看。。

好好学习一下．

什么问题也看不出来:kaka12: :kaka6: :kaka6:

删除文件\C:\WINDOWS\system32a2.sys
删除ll对应注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]  <{32CD708B-60A7-4C00-9377-D73EAA495F0F

这篇日志里的好多文件都太容易误判

结果还是误判了,自己的路自己走.

看看答案

还是不熟练 接着练习

接着分析，积累经验

求答案

偷看一下答案

老师辛苦了，:kaka1:

答案

答案

学习一下呀

C:\WINDOWS\system32\bgswitch.exe
C:\WINDOWS\system32\RavExt.dll>
<\SystemRoot\\SystemRoot\System32\drivers\mgogrh.sys><N/A>
[mraid35x / mraid35x][Stopped/Boot Start]
[R2A / R2A][Stopped/Disabled]
  <\??\C:\WINDOWS\system32a2.sys><N/A>

再一个就是文件关联

然来3721也叫雅虎助手，添加了n多驱动服务，我说这日志怎么这么奇怪呢

看看答案（附上可疑处）~
C:\WINDOWS\system32\UTSCSI.EXE
C:\PROGRA~1\3721\alLiveEx.dll
C:\Program Files\WinRAR\rarext.dll
C:\Program Files\Microsoft Office\OFFICE11\AW.DLL
C:\Program Files\Tencent\QQ\Bin\txpfproxy.dll
驱动部分：\??\C:\WINDOWS\system32a2.sys
缺失：<"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [File is missing]
C:\WINDOWS\system32\RavExt.dll文件缺失，删除掉
.CHM文件关联修复一下

对答案